(更新2024/03/05) 5G、工業4.0、物聯網IoT的興起,吹起了一股全球製造業的轉型風;安全轉型扮演著至關重要的關鍵。從資訊安全(Security)、資通訊安全,到最新網通安全(Cybersecurity)。安全轉型如何合規?讓我們來看IEC 62443這個標準。
提到安全轉型,首先第一個想到的便是ISO 27001所定義的資訊安全管理系統框架,然而這份標準框架是根據資訊科技(IT)所制定的,並不全然適用於營運科技(OT)的環境,尤其缺少製造業不同角色的觀點、相關實作及應用方針。
IEC 62443早先由國際自動化學會(International Society for Automation, 簡稱ISA)所創立的,後經審核再透過美國國家標準協會(American National Standards Institute, 簡稱ANSI)文件的型式發布。因此,讀者在網路查詢時,會看到ANSI/ISA-99或ISA99等名稱。
62443標準後來被IEC採納後,該標準同時通過ISA99和IEC(TC65WG10)等委員審核修訂,所以在ISA發行的版本稱為ISA-62443-x-y,IEC發行的版本為IEC 62443-x-y。
IEC 62443 現為國際廣泛採納和認可的工業自動化及控制系統(Industrial Automation and Control System, 簡稱IACS)的網通安全(Cybersecurity)標準,通過IEC驗證後所持認證,可達多邊認可效用。現今各國、各行業制定安全相關標準亦會參考本標準的內容。
額外資訊 IEC 62443目前所涉及應用的產業,除了一般所認知的工控產業,亦可能包含能源產業(電力、油、瓦斯、水)、運輸產業(空運、鐵道)、健康產業、數位基礎設施。
IEC 62443標準現況
IEC 62443系列標準,共可分成六個部分(其中有兩個部分正在修訂中),分別是:
- Part-1: 一般 (General)
- Part-2: 政策與程序 (Policy and Procedure)
- Part-3: 系統 (System)
- Part-4: 組件 (Component)
- Part-5: 設定檔 (Profile) (修訂中,目前是草稿階段)
- Part-6: 評估方法 (Evaluation) (修訂中,目前是草稿階段)
工控產業的運作環境,一般分成三個級別的安全層級,分別為組件、系統、解決方案,以下分別描述:
- (1) 組件(Component):一般又可以區分成四個不同的組件類型,分別是軟體應用、網通設備、控制設備、嵌入式設備。組件開發與安全標準,請參考IEC 62443–4系列。
- (2) 系統(System):一個工控系統由多個組件所組合而成,系統的安全考量應考慮與其他組件或系統建立連線時的安全需求。系統的安全標準,請參考IEC 62443–3系列。
- (3) 解決方案(Solution):一個解決方案,指的是一個已開發完成的安全系統在工控環境中進行部建後的成果,由於工控環境由多種不同系統所建構而成,因此在安裝配置新系統時,除了系統本身的安全防護外,亦需要考量與整體工控環境的設定、配置、維護與更新,以達成所需要的安全等級。解決方案的配置與維護標準,請參考IEC 62443–2系列。
目前IEC 62443系列標準仍處於發展中,因此未來幾年將會陸續發布標準的細節,IEC 62443標準的狀態,請參考下圖,其中標色為藍色為已發布之系列標準,標以紅色框框者為業界常見的認證標準。
額外說明 - IEC 62443標準認證 IEC 62443 目前常見認證機制共有三種,請參考IEC 62443 的3種認證機制
額外說明 - IEC 62443 發展中標準 有一個值得期待的消息!IEC 62443-2-1 及 IEC 62443-6-1 即將在2024年發行! 尤其是 IEC 62443-6-1 會對於IEC 62443-2-4 有許多的補充跟說明,這對於IEC 62443-2-4的落地會有許多幫助 :) 關注發展中的IEC標準:IEC TC 65 標準開發進程
IEC 62443角色與概念
IEC 62443標準中,定義了四種角色,分別是:
- 資產擁有者(Asset Owner):一般泛指工(控)廠擁有者。
- 服務提供商(Service Provider – Maintenance Service):一般泛指提供系統/設備維護、更新的服務提供商。
- 系統整合商(System Integrator/ Service Provider – Integrator Service):(屬於服務提供商的一種),泛指提供系統/設備安裝、設定的服務提供商。
- 產品供應商(Product Supplier):一般泛指開發系統/組件的製造商。
關於各角色在工控產業與標準中的應對關係,請參考下圖。其中,綠色框為工控環境的現場端、橘色框為開發端(離線);由下而上,依序說明如下:
- 產品供應商(Product Supplier):
在開發端(非現場)依據標準開發程序(IEC 62443–4–1),並各別依據系統(IEC 62443–3–3)與組件(IEC 62443–4–2)的安全等級需求開發系統、子系統與組件。 - 系統整合商(System Integrator/ Service Provider – Integrator Service):
根據工控環境現場進行評估與設計(評估可以根據IEC 62443-3-2的風險評鑑方法),透過標準安裝與設定程序(IEC 62443–2–4),將產品供應商所開發的系統、子系統、組件,進行安裝、佈署與設定,並確認其安裝與設定的解決方案滿足資產擁有者所定義的安全等級需求(IEC 62443–3–3)。 - 服務提供商(Service Provider – Maintenance Service):
根據維護與更新程序(IEC 62443–2–4),提供工控現場中各系統的維護與更新服務。 - 資產擁有者(Asset Owner):
根據安全計畫要求(IEC 62443–2–1),運作工控環境中的各系統;當需要導入其他工控系統時,透過安全風險評估與系統設計(IEC 62443–3–2)定義安全等級,並要求服務提供商、系統整合商。
額外說明 - 標準的區分 從上述角色於工控環境與標準的對應關係中,讀者應該會發現,標準分成兩種: 1) 安全性標準: 針對解決方案、系統、組件定義安全等級及相關需求。(包含IEC 62443-3-3及IEC 62443-4-2) 2) 程序標準: 針對開發流程、安裝、設定、維護、更新定義所需要的程序。(包含IEC 62443-2-1, IEC 62443-2-4及IEC 62443-4-1)這兩種標準,在實務上分別針對產品與企業本身進行規範,在產品上存在安全等級及相關需求,在企業則存在成熟等級及相關需求,筆者會在後續的文章中,分別介紹成熟等級與安全等級。